Este aviso detalla varias vulnerabilidades de seguridad en Jenkins y sus complementos, afectando diversas versiones del software. Aquí se presentan las descripciones, la severidad y las soluciones recomendadas relacionadas con las vulnerabilidades identificadas.
-
Comprobación de permiso faltante para recuperar configuraciones de agentes (Security-3512 / CVE-2025-31720):
- Severidad: Media (CVSS)
- Descripción: Las versiones de Jenkins hasta la 2.503 y LTS hasta la 2.492.2 no verifican adecuadamente los permisos en ciertos puntos finales HTTP. Esto permite que los atacantes con el permiso de creación de computadoras (pero sin permiso de lectura extendido) copien un agente y accedan a su configuración. Las versiones 2.504 y LTS 2.492.3 han corregido esta vulnerabilidad al requerir permiso de lectura extendido para copiar un agente.
-
Comprobación de permiso faltante para recuperar secretos en las configuraciones de agentes (Security-3513 / CVE-2025-31721):
- Severidad: Media (CVSS)
- Descripción: Similar a la vulnerabilidad anterior, esta afectación permite a los atacantes obtener acceso a secretos cifrados en las configuraciones de los agentes. De nuevo, las versiones más recientes de Jenkins corrigen esta falta de autorización.
-
Vulnerabilidad de eludir el sandbox de seguridad en el complemento ‘templatting-engine’ (Security-3505 / CVE-2025-31722):
- Severidad: Alta (CVSS)
- Descripción: Hasta la versión 2.5.3, el complemento permitía que las bibliotecas definidas en carpetas no estuvieran sujetas a la protección del sandbox, permitiendo la ejecución de código arbitrario por parte de atacantes. Las versiones posteriores han corregido esta vulnerabilidad.
-
Vulnerabilidad CSRF en el complemento ‘simple-queue’ (Security-3469 / CVE-2025-31723):
- Severidad: Media (CVSS)
- Descripción: Las versiones hasta la 1.4.6 del complemento ‘simple-queue’ no requerían solicitudes de publicación adecuadas, lo que permitía el falsificación de solicitudes de sitios cruzados. Las versiones más recientes exigen solicitudes posteriores para mejorar la seguridad.
-
Almacenamiento de claves API en texto sin formato por el complemento ‘Cadence VManager’ (Security-3537 / CVE-2025-31724):
- Severidad: Media (CVSS)
- Descripción: Las versiones hasta la 4.0.0-282 del ‘Cadence VManager Plugin’ almacenaban claves API sin cifrar en archivos de configuración. Las versiones más recientes solucionan este problema al cifrar las claves.
-
Almacenamiento de contraseñas en texto sin formato por el complemento ‘monitor-remote-job’ (Security-3539 / CVE-2025-31725):
- Severidad: Media (CVSS)
- Descripción: Esta vulnerabilidad permite que contraseñas almacenadas sin cifrar sean vistas por usuarios con permisos de lectura extendida. Las versiones posteriores han corregido esta vulnerabilidad.
- Otras claves API en texto sin formato:
- Vulnerabilidades similares se han encontrado en el ‘stackhammer’ y el ‘asakusa-satellite-plugin’, donde se almacenaban claves API y otro tipo de información sin cifrar.
Recomendaciones de actualización:
Para mitigar estas vulnerabilidades, se recomienda a los administradores actualizar a las siguientes versiones:
- Jenkins Weekly: Actualizar a 2.504.
- Jenkins LTS: Actualizar a 2.492.3.
- Complementos específicos también deben actualizarse a sus versiones más recientes para asegurar la protección contra las vulnerabilidades mencionadas.
Reconocimiento:
El equipo de Jenkins agradece a los individuos y organizaciones que reportaron estas vulnerabilidades, incluyendo expertos de Cloudbees y universidades que contribuyeron a la corrección y mejora de la seguridad en Jenkins.
En resumen, es crucial que los usuarios de Jenkins revisen sus versiones instaladas y actualicen donde sea necesario para asegurar que están protegidos contra las vulnerabilidades descritas.